제1장 총칙
제1조(목적)
구리시청소년재단에서 수집. 관리되는 회원의 개인정보를 안전하게 보호하고 이용. 관리하기 위한 내부 지침을 마련한다.
제2조(적용범위)
본 지침의 적용범위는 구리시청소년재단(이하 재단이라 한다)이 운영. 관리하는 홈페이지 및 회원관리시스템, 수강 신청, 환불, 결재, 프로그램참가 등에 사용되는 개인정보가 포함된 서식의 작성, 이용, 파기 등에 적용된다. 또한 재단이 설치 운영하는 개인영상정보의 수집 및 이용 등에도 적용된다.
제3조(용어정의)
본 지침에서 사용하는 용어의 정의는 다음과 같다.
- “개인정보 처리”란 개인정보를 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
- “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자로서, 법 제31조에 따른 지위에 해당하는 자를 말한다.
- “분야별개인정보보호책임자”란 개인정보를 취급하는 단위 부서에서 개인정보보호책임자의 역할을 수행하는 자를 말한다.
- “개인정보 보호담당자”란 개인정보책임자가 업무를 수행함에 있어 보조적인 역할을 하는 자를 말하며 개인정보보호 책임자가 일정 요건의 자격을 갖춘 이를 지정한다.
- “개인정보취급자”란 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다.
- “개인정보처리시스템”이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
- “영상정보처리기기”란 폐쇄회로텔레비전(CCTV), 네트워크카메라 등 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유?무선망을 통하여 전송하는 일체의 장치를 말한다.
- “개인영상정보”라 함은 영상정보처리기기에 의하여 촬영?처리되는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다.
- “영상정보처리기기 운영자”라 함은 개인정보 보호법 제25조제1항 각호에 따라 영상정보처리기기를 설치?운영하는 자를 말한다.
- “공개된 장소”라 함은 공원, 도로, 지하철, 상가 내부, 주차장 등 정보주체가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.
- “회원관리시스템” 이라 함은 구리시청소년재단에서 회원의 수강신청 등을 컴퓨터로 관리할 수 있게 제작된 전산시스템(데이타베이스 포함)을 말한다.
제2장 내부관리계획의 수립 및 시행
제4조(내부관리계획의 수립 및 승인)
1. 개인정보 단계별 처리지침
가. 개인정보의 수집
1) 개인정보의 수집 시에는 최소한의 정보만을 수집하도록 하고, 수집항목에 대하여 분야별개인정보책임관 및 개인정보관리책임자의 승인을 얻도록 한다.
2) 개인정보 수집 시 수집목적 및 이용, 보유기간, 제3자 제공 등을 고지하고 정보주체의 동의를 반드시 받도록 한다.
3) 개인정보 수집대상이 14세미만 아동인 경우 법적대리인의 동의를 받도록 한다.
나. 개인정보의 보유
1) 종이문서에 대해서는 허가되지 않은 자에게 노출되지 않도록 일반 서류와 별도로 접근통제가 가능하게 안전조치를 취한 곳에 보관하도록 한다.
2) 회원관리시스템은 정기적인 백업으로 손실, 파손 등에 대비하고 허가된 자만이 접근 할 수 있도록 차등적인 접근 권한을 부여하며 주기적으로 비밀번호를 변경하도록 한다.
다. 개인정보의 이용 및 제공
1) 수집된 개인정보는 수집 목적이외의 용도로 이용할 수 없다.
2) 수집목적이외로 이용하고자 할 경우 해당 정보주체에게 별도로 동의를 얻도록 한다.
3) 제3자 제공에 대해서는 정보주체의 동의가 있거나 근거 법령에 의해서만 가능하다.
라. 개인정보의 파기
1) 수집 목적이 달성되거나 보유기간이 경과한 개인정보에 대해서는 지체없이(5일이내) 파기하도록 한다.
마. 개인정보의 파기방법
1) 종이문서에 대해서는 소각, 파쇄기 등을 이용해 복구 불가능하도록 파기한다.
2) 회원관리시스템에서는 복구 불가능한 기술적 조치를 이용해 파기 하도록 한다.
바. 개인정보의 열람, 정정, 삭제의 요청
1) 재단은 정보주체가 개인정보를 열람, 정정을 요청할 경우 열람 혹은 정정신청서를 작성하도록 하고 개인정보관리책임관의 승인을 얻어 열람 또는 정정하도록 하며 법적 근거 없이 열람, 정정 요청을 거부 할 수 없다.
2) 정보주체가 개인정보의 삭제를 요청할 경우 삭제 요청서를 작성하도록 하고 개인정보 관리책임관의 승인을 얻어 삭제하도록 하며 법적 근거 없이 거부 할 수 없다. 또한 개인정보의 삭제요청은 서비스의 중도해약으로 보며 중도해약처리 또한 함께 진행 하도록 한다.
2. 개인영상정보의 단계별 처리지침
가. 영상정보처리기기의 설치
1) 재단은 수영장, 주차장, 엘리베이터, 강의실, 댄스실 등 실내에서 범죄예방, 시설안전, 화재예방 등 재단을 이용하는 이용자들의 안전과 편의를 위해 영상정보처리기기를 설치할 수 있다.
2) 공개된 장소에 영상정보처리기기를 설치할 경우 설치 목적 및 근거, 촬영범위, 촬영시간, 설치위치를 기록한 안내판을 설치하여 누구나 쉽게 확인 할 수 있도록 한다. 또한 홈페이지 등에 설치목적, 근거, 촬영범위, 촬영시간, 설치 위치 등을 공지하도록 한다.
3) 안내판의 크기는 40cm*30cm 이상 크기로 보색을 사용하여 시인성이 좋도록 한다.
4) 안내판의 설치는 사람의 이동이 많은 곳에 시선이 잘 닿는 곳에 부착하도록 한다.
(예를 들면 설치된 장소로 이동하는 문등)
나. 개인영상정보의 보유
1) 개인영상정보는 위. 변조가 불가능하도록 기술적 조치를 이용해 보관하도록 한다.
2) 개인영상정보의 접근은 허가된 자만이 가능하도록 한다.
다. 개인영상정보의 이용 및 제3자 제공
1) 수집된 개인영상정보는 목적 이외의 용도로 이용할 수 없다.
2) 개인영상정보의 열람 시 열람일시, 열람자, 열람목적, 열람대상등을 기록한 열람대장을 기록하도록 하며 개인정보관리책임자의 입회하에 열람하도록 한다.
3) 수집된 개인영상정보는 법적 근거 없이 제3자에게 제공할 수없다.
라. 개인영상정보의 파기
1) 보유기간이 경과한 개인영상정보에 대해서는 지체없이(5일이내) 파기하도록 한다.
마. 개인영상정보의 파기방법
1) 개인영상정보가 기록된 정보매체에 대해 복구 불가능한 기술적 조치를 이용하여 파기 하도록 한다.
바. 개인영상정보의 열람
1) 정보주체가 영상정보의 존재 확인 및 열람, 삭제를 요청할 경우 해당 신청서를 작성
하여 개인정보관리책임관의 승인을 얻어 처리하도록 한다.
2) 재단은 법적 근거 없이 정보주체의 열람, 삭제 요청을 거부 할 수 없다.
제5조(내부관리계획의 공표)
공고일자 : 2020년 7월 10일 / 시행일자 : 공고일 이후
제3장 개인정보관리책임자의 의무와 책임
제6조(개인정보보호책임자등의 지정)
1. 개인정보보호책임자
재단의 개인정보보호책임자는 6급 이상의 직원으로 하며 그 직원이 개인정보보호책임자를 겸임하도록 한다.
2. 분야별개인정보보호책임관
재단의 분야별 개인정보보호책임관은 개인정보를 취급하는 팀의 팀장으로 한다.
3. 개인정보보호담당자
재단의 개인정보보호 담당자는 재단을 운영하고 있는 전산담당자로 한다.
제7조(개인정보관리책임자등의 의무와 책임)
1. 개인정보관리 책임자
가. 개인정보보호계획수립
나. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
다. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
라. 개인정보 유출 및 오용. 남용 방지를 위한 내부 통제시스템의 구축
마. 개인정보 보호 교육 계획의 수립 및 시행
바. 개인정보 파일의 보호 및 관리. 감독
사. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무.
2. 분야별개인정보보호책임관
가. 재단의 개인정보관리계획에 따라 단위 부서내의 개인정보가 관리될 수 있도록 조치.
3. 개인정보보호담당자
가. 개인정보보호책임자의 업무를 도와 개인정보가 안전하게 관리되고, 보호될 수 있도록
수립된 계획의 시행을 하도록 한다.
제8조(개인정보취급자의 범위 및 의무와 책임)
1. 개인정보취급자의 범위는 다음과 같다.
가. 회원의 수강신청을 접수하는 자.
나. 접수된 신청서를 회원관리시스템에 입력하는 자.
다. 입력된 회원관리시스템의 정보를 정정하고 수입금 기본자료를 작성하는 자.
라. 강사
마. 수입금 관리자
바. 회원관리시스템 관리자
사. 청소년 활동 및 사업을 위해 개인정보를 취급하는 자.
아. 구리시청소년재단 다음카페에 가입하는 신청자는 그 다음 포털사이트 개인정보 지침을 따른다.
2. 개인정보취급자의 의무와 책임
가. 업무상 알게 된 개인정보를 제 3자에게 제공하면 아니된다.
나. 수집한 개인정보가 안전하게 보관되고 이용될 수 있도록 관리적, 기술적 조치를 다한다.
다. 보안서약서를 작성하여 관리한다.
제4장 개인정보의 처리단계별 기술적·관리적 보호조치
제9조(물리적 접근제한)
1. 회원관리시스템이 구동되고 있는 전산실은 지문인식기 등의 출입. 통제시스템을 설치하여 출입을 제한한다.
2. 종이문서 형태의 개인정보파일이 보관되는 곳은 잠금장치를 설치하여 출입 및 열람을 제한하도록 한다.
3. CCTV관리시스템에는 별도의 잠금장치를 마련하여 접근을 차단한다.
4. 1항,2항,3항의 장소에 외부인의 방문 시 출입대장을 작성하도록 한다.
5. 1항,2항,3항의 장소에는 CCTV를 설치하여 도난, 분실 등에 대비하도록 한다.
6. 1항 회원관리시스템을 외부에 위탁 운영할 경우에는 계약시 정보보안 위탁관리 서약서 작성 및 보안특약을 설정하고, 매년 1회 개인정보 및 정보보안 교육을 실시한다.
7. 3항의 CCTV관리시스템의 비밀번호는 최소 3개월마다 변경하여 관리한다.
제10조(출력 복사 시 보호조치)
1. 출력시
출력자, 출력대상물 등이 기록된 로그를 기록하고 워터마크를 함께 인쇄 하도록한다.
2. 복사시
가. 복사대상, 복사목적, 복사수량, 복사자, 복사일시를 기록한 복사대장을 작성하도록 한다.
나. 복사 시 워터마크가 나타나도록 한다.
3. 기기접근 차단
무선네트워크를 통한 출력 및 복사기능은 차단한다.
제11조(개인정보취급자 접근 권한 관리 및 인증)
1. 개인정보취급자의 접근 권한
개인정보취급자 | 개인정보파일형태 | 접근권한 |
---|---|---|
수강신청접수자 | 종이 | 열람 및 임시보관 |
수강신청입력자 | 종이 및 회원관리시스템 | 열람, 입력, 수정, 조회, 결재처리 |
회계담당자 | 종이 및 회원관리시스템 | 열람, 입력, 수정, 조회, 출력, 결재처리, 환불처리, 매출조정 |
강사 | 회원관리시스템 | 회원조회, 강습관리, 강습반회원출력 |
수입금관리자 | 회원관리시스템 | 매출조정, 결재정보 |
회원관리시스템관리자 | 회원관리시스템 | 조회, 수정, 출력, 결재처리, 매출조정 |
2. 개인정보취급자의 접근 인증
개인정보취급자의 접근 권한은 서면(별첨 양식)으로 받아 개인정보관리책임자의 결재를 득한 후 부여하도록 한다.
제12조(개인정보의 암호화)
회원관리시스템에 기록되는 개인정보 중 주민등록번호, 외국인등록번호에 대해서는 암호화 하여 기록한다.
제13조(접근통제)
1. 회원관리시스템
개인정보취급자의 업무상 필요한 기본권한 외에 추가적인 권한은 분야별 개인정보책임관의 승인을 얻은 후 개인정보관리책임자의 승인을 얻어야 권한 부여가 가능하도록 한다.
2. 종이문서형태의 개인정보
개인정보취급자는 업무상 개인정보가 필요할 경우 분야별 개인정보책임관의 승인을 받아야 열람이 가능하며 복사 등 반출의 경우 개인정보관리자의 승인을 받도록 한다.
제14조(접근기록의 위변조 방지)
접근기록의 위변조 방지를 위해 접근기록은 허가된 자 만이 접근 가능하도록 하고 열람일시, 열람자, 열람목적을 기록한 접근기록열람대장을 작성 및 보관한다. 또한 정기적인 백업을 함으로써 위변조에 대응하도록 한다.
제15조(보안프로그램의 설치 및 운영)
1. 사용자 PC
가. 백신프로그램을 설치하고 매일 1회 이상 업데이트를 실시한다.
나. 매주 1회 이상 정밀 검사를 실시한다.
다. 보안관리 프로그램을 설치하고 매월 1회 자동검사를 실시한다.
2. Windows 서버
가. 서버용 백신프로그램을 설치하고 매일 1회 이상 업데이트를 실시한다.
나. 매주 1회 이상 정밀 검사를 실시한다.
3. 웹서버
가. 키보드 해킹방지솔루션 및 SSL을 설치 운영한다.
나. 해당 솔루션의 주기적인 업데이트를 실시한다.
제16조(이동식 저장장치의 사용 및 보안조치)
1. 이동식 저장장치 사용의 제한
가. 이동식저장장치 사용이 필요할 경우 개인정보관리책임자의 허가를 득한 후 사용
나. 업무용으로 허가된 이동식 저장장치만 사용가능
2. 이동식 저장장치 사용 허가관리
가. 이동식저장장치의 사용이 필요한 경우 개인정보관리책임자의 허가를 득하고 관리대장에 내용을 작성하여 보관한다.
3. 개인정보취급자의 입사 및 퇴사 관리
가. 개인정보취급자의 입사 시 보안서약서 작성하여 관리
나. 개인정보취급자의 퇴사 시 업무 중 취득한 접근권한을 일괄 삭제한다.
제5장 사이버보안점검의 날
제17조(자체감사 주기 및 절차)
1. 매월 3번째 수요일을 ‘사이버보안점검의 날’로 지정·운영한다.
2. 절차
가. 점검일정 수립 및 공지
나. 개인정보수집, 이용, 보유, 파기에 대한 자료 제출 요구
다. 제출된 자료 점검
라. 제출한 자료대로 관리되고 있는지 현장 점검
마. 개인정보취급자를 대상으로 취급 실태 파악
바. 점검 보고서 작성
사. 미비점 보완 처리
제18조(자체감사 결과 반영)
개인정보취급팀 및 개인정보취급자는 자체 감사결과를 바탕으로 도출된 미비점 개선사항에 대해 즉시 반영하도록 해야 한다.
제6장 개인정보보호 교육
제19조(개인정보보호 교육 계획의 수립)
개인정보보호의 중요성을 인식하고 항상 주의를 기울일 수 있도록 전직원을 대상으로 교육을 실시한다.
1. 년 1회 이상 전직원을 대상으로 실시하도록 한다.
2. 외부강사 초빙 혹은 외부 기관 위탁으로 교육을 진행한다.
3. 교육시간은 1회 교육시 1시간 - 2시간 내외로 한다.
4. 교육일정은 개인정보관리책임자가 계획하도록 한다.
5. 개인정보를 직접적으로 개인정보취급자 및 개인정보담당자, 개인정보관리책임자, 분야별개인정보책임관에 대하여는 추가적으로 전문교육 및 수시교육을 실시하도록 한다.
제20조(개인정보보호 교육의 실시)
1. 제18조에 의해 수립된 교육계획은 차질 없이 실시되어야 하며
2. 교육대상 전원 참석을 원칙으로 한다.
3. 교육대상이 원활히 교육에 참석할 수 있도록 재단 대표이사는 여건을 조성해야 한다.
제7장 개인정보 침해대응 및 피해구제
제21조(개인정보 유출 등의 통지)
① 개인정보보호 책임자는 개인정보가 유출되었음을 인지하였을 경우에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 선 조치 후 정보 주체자에게 알릴 수 있다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 재단의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보보호 책임자는 개인정보가 유출된 경우 그 피해를 최소화하기 위하여 “침해사고 대응 안내서”에 따라 침해사고 대응팀을 구성하고 필요한 조치를 한다.
제22조(개인정보 유출 등의 신고)
유출이 의심되거나, 확실시 되는 경우 신속하게 전자우편, 팩스, 개인정보보호 종합포털(www.privacy.go.kr)로 신고하여야 하며, 특별한 사정이 있거나 시간적 여유가 없는 경우, 전화로 사전 신고 후 구리시(정보통신과)로 공문을 제출한다.
제23조(권익침해 구제방법)
① 개인정보주체는 개인정보 침해신고와 피해 구제를 위한 창구를 한국인터넷진흥원 개인정보침해신고센터에 분쟁해결이나 상담 등을 신청한다. 그 밖에 기타 개인정보침해의 신고 및 상담에 대하여는 아래의 기관에 문의한다.
1. 한국인터넷진흥원 사이버테러 : (국번없이) 118
2. 경찰청 사이버안전국 : (국번없이) 182
3. 한국인터넷진흥원 개인정보침해신고센터 : http://privacy.kisa.or.kr
4. 방송통신심의위원회 인터넷피해구제센터 : http://remedy.kocsc.or.kr/ddms/hlp/showUseGuide.do